以下最低可行安全平台指南符合驗證和授權安全支柱。
基本等級規範
請先實作下列驗證和授權指南。
| 項目 | 定義可靠的識別資訊來源 |
|---|---|
| 說明 | 決定要用哪個來源來佈建受管理的使用者身分。模式包括在 Cloud Identity 中建立使用者身分、從現有身分提供者同步處理身分,或使用員工身分聯盟。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.4 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 建立備援管理員帳戶 |
|---|---|
| 說明 | 沒有單一超級管理員或機構管理員。建立一或多個 (最多 20 個) 備份管理員帳戶。如果只有一位超級管理員或機構管理員,可能會導致帳戶遭到鎖定。這種情況的風險也較高,因為一個人就能變更平台,而且可能沒有監督機制。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.7 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
| 項目 | 強制執行高強度密碼政策 |
|---|---|
| 說明 | 為所有使用者帳戶強制設定不重複的高強度密碼。建議使用密碼管理工具。惡意使用者通常會利用強度不足或沒有憑證的模式。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.9 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 根據工作職務使用角色 |
|---|---|
| 說明 | 根據工作職責使用 Identity and Access Management (IAM) 角色,為使用者指派權限。工作職務是預先定義的角色,管理員可提供一組僅限於工作職務的權限,進而提高工作效率,並減少要求權限時的來回溝通。為更符合貴機構的需求,您可以根據預先定義的角色建立自訂角色。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.20 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 禁止建立外部服務帳戶金鑰 |
|---|---|
| 說明 | 使用 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.17 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
中階指南
實作基本規範後,請實作下列驗證和授權規範。
| 項目 | 限制群組中的外部成員 |
|---|---|
| 說明 | 設定全機構適用的政策,禁止將外部成員新增至 Google 網路論壇。 根據預設,外部使用者帳戶可以新增至 Cloud Identity 中的群組。建議您設定共用設定,禁止群組擁有者新增外部成員。 請注意,這項限制不適用於超級管理員帳戶,也不適用於具備 Google 協作平台管理員權限的其他委派管理員。由於身分識別提供者的同盟作業會以管理員權限執行,因此群組共用設定不適用於這項群組同步作業。建議您檢查身分識別提供者和同步機制中的控制項,確保系統不會將非網域成員新增至群組,或套用群組限制。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.3 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 設定每日工作階段時間長度 |
|---|---|
| 說明 | 設定 Google Cloud 服務的工作階段時間長度,確保工作階段每天至少會過期一次。長時間讓帳戶保持登入狀態會帶來安全風險。強制執行工作階段時間上限後,系統會在設定的時間過後自動結束工作階段,並強制使用者重新登入。 這項做法可減少惡意使用者利用竊取密碼的機會,並確保系統定期重新驗證存取權。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.11 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 修正未受管理的個人帳戶 |
|---|---|
| 說明 | 請勿允許非受管的個人帳戶。整合所有非受管的個人帳戶,並考慮採用解決方案,防止使用者透過您的網域建立更多非受管的個人帳戶。 非受管的個人帳戶不受員工加入/異動/離職 (JML) 程序控管,因此員工離職後仍可存取資源,造成安全風險。就網域限制共用等控制項而言,這些帳戶也會視為外部帳戶。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.5 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 強制使用專屬管理員和多方核准機制 |
|---|---|
| 說明 | 請確保超級管理員帳戶與日常使用的使用者帳戶不同。超級管理員帳戶必須是專用帳戶,僅用於進行重大變更。為提高安全性,請開啟管理員動作的多方核准機制。開啟多方核准機制後,敏感操作須經兩位管理員核准,有助於防範攻擊者入侵管理員帳戶,並封鎖其他管理員使用者。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.8 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 為所有 Google 帳戶和 Cloud Identity 使用者啟用多重驗證 |
|---|---|
| 說明 | 為所有 Google 帳戶和 Cloud Identity 使用者 (不只是超級管理員) 啟用多重驗證 (簡稱 MFA,也稱為兩步驟驗證)。超級管理員的 MFA 預設為啟用。單靠密碼通常無法提供足夠的安全防護,因此 MFA 會再添一道防線。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.10 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 撤銷預設建立者角色 |
|---|---|
| 說明 | 移除系統預設授予新機構所有成員的網域層級「專案建立者」和「帳單帳戶建立者」角色。 新機構會將「專案建立者」和「帳單帳戶建立者」角色授予網域中的所有受管理使用者身分。雖然這些角色有助於入門,但這項設定不適用於正式環境。如果帳單帳戶數量過多,管理負擔就會增加,而且在多個帳單帳戶之間分割服務時,也會造成技術上的影響。允許隨意建立專案可能會導致專案不符合管理慣例。 請改為移除這些角色,並建立專案建立程序,要求建立新專案並與帳單建立關聯。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.6 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 使用 Privileged Access Manager |
|---|---|
| 說明 | 使用 Privileged Access Manager 管理特殊權限存取權。如要授予其他存取權,請使用存取權群組、讓群組成員資格自動過期,並為群組成員資格導入核准工作流程。 使用最低權限模式,您就能只在需要時提供資源存取權。使用預先建立的角色可簡化操作,並減少自訂角色造成的擴散,因此您不必擔心管理角色生命週期。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.18 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 停用預設服務帳戶的自動 IAM 授予功能 |
|---|---|
| 說明 | 如果 Google Cloud 服務自動建立具有過於寬鬆角色的預設服務帳戶,請使用 根據預設,部分系統會授予自動化帳戶過於廣泛的權限,這可能會造成安全風險。舉例來說,如果您未強制執行這項限制,當您建立預設服務帳戶時,系統會自動將專案的編輯者角色 ( |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.14 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
| 項目 | 輪替服務帳戶金鑰 |
|---|---|
| 說明 | 如果必須使用服務帳戶金鑰,請至少每 90 天輪替一次金鑰。 輪替間隔會限制攻擊者存取系統的時間長度。如果沒有輪替間隔,攻擊者就能永久存取。盡可能使用 Workload Identity 聯盟,而非服務帳戶金鑰。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.15 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
| 項目 | 使用 Workload Identity 聯盟 |
|---|---|
| 說明 | 使用 Workload Identity Federation,讓 CI/CD 系統和其他雲端執行的工作負載向 Google Cloud進行驗證。Workload Identity 聯盟可讓在 Google Cloud 外部執行的工作負載進行驗證,不必使用服務帳戶金鑰。透過避免使用服務帳戶金鑰和其他長期憑證,工作負載身分聯盟可協助您降低憑證外洩的風險。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.16 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
進階等級規範
導入中階規範後,請導入下列驗證和授權規範。
| 項目 | 禁止超級管理員帳戶自助式救援 |
|---|---|
| 說明 | 新客戶的超級管理員帳戶自助救援功能預設為關閉。不過,現有顧客可能已啟用這項設定。關閉這項設定有助於降低風險,避免攻擊者透過遭入侵的手機、電子郵件或社交工程攻擊,取得您環境的超級管理員權限。 規劃內部程序,讓超級管理員在無法存取帳戶時,可以聯絡貴機構的其他超級管理員,並確保所有超級管理員都熟悉支援人員協助復原的程序。 如要關閉這項功能,請前往 Google 管理控制台中的帳戶救援設定。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.2 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 針對敏感用途設定閒置工作階段逾時 |
|---|---|
| 說明 | 對於機密用途,請將閒置工作階段逾時時間設為 15 分鐘。攻擊者可能會利用閒置工作階段竊取憑證。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.12 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 強制管理員使用實體安全金鑰 |
|---|---|
| 說明 | 盡可能為超級管理員或機構管理員提供硬體安全金鑰做為第二重驗證。超級管理員帳戶是複雜攻擊鎖定的最高價值目標。硬體安全金鑰可防範網路釣魚,因此能提供高層級的保護。實體安全金鑰是防範帳戶遭盜用的最強大防禦機制,可為最重要的管理員提供保護,並以標準 MFA 政策為基礎。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.13 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 啟用單一登入 (SSO) 後驗證 |
|---|---|
| 說明 | 如果您使用外部識別資訊提供者,請設定單一登入後驗證。 根據 Google 的登入風險分析,啟用額外的控制層級。套用這項設定後,如果 Google 判斷使用者登入活動可疑,可能會在使用者登入時要求他們回答額外的風險相關登入身分確認問題。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.1 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|
| 項目 | 啟用主體存取邊界政策 |
|---|---|
| 說明 | 啟用主體存取邊界 (PAB) 政策,限制主體存取權,防範網路釣魚和資料外洩。為機構啟用邊界政策,防範外部網路釣魚攻擊。主體存取權界線可減少遭盜用身分發動攻擊的範圍,進而提升安全性,也有助於防範外部網路釣魚攻擊和其他外洩攻擊。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.19 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
|